Windows Remote Desktop – CredSSP-Update
Ein Windows-Update, dass im März seitens Microsoft ausgeliefert wurde, sollte auf allen PCs und Servern installiert werden, die über das Remote Desktop Protokoll verwaltet werden. Microsoft hat im Rahmen der März-Updates eine kritische Sicherheitslücke im Anmeldeprotokoll CredSSP geschlossen. Um die Lücke wirksam zu schließen, müssen sowohl Server, als auch Client gepatched werden. In der Zeit von März bis Mai, gab es eine Übergangsfrist, in denen lediglich gewarnt wurde, sollte einer der beiden Parteien (Server / Client), nicht über das Update verfügen.
Mit dem Mai Update hat sich Microsoft dazu entschlossen, sämtliche Verbindungen zu sperren, wenn eine der beiden Parteien, nicht über den Patch verfügt. Beispiel: Der Client ist gepatcht, der Server jedoch nicht, dann schlägt die Verbindung fehl, mit der Fehlermeldung:
Administratoren sollten daher dafür Sorge tragen, dass auf den Rechnern die entsprechenden Patches eingespielt werden.
Als Übergangslösung besteht die Möglichkeit am Client den zusätzlichen Schutz temporär zu deaktivieren. Hierzu kann beispielsweise folgendes Script verwendet werden.
Reg-Update-Fix-RDS
Sobald das Update auf dem Server eingespielt wurde, sollten Sie den Schutz jedoch wieder aktivieren, indem Sie die Änderung in der Registry rückgängig machen.
Wichtiger Hinweis:
Die Deaktivierung des Schutzes, sollte nur temporär erfolgen, da ansonsten ein erhöhtes Risiko besteht, Opfer einer Man-in-the-Middle-Attacke zu werden. Damit kann Schadcode auf den betroffenen Systemen eingeschleust werden.